Cette procédure utilise les paramètres de configuration ci-dessous :
Serveur d'application = boston
admin principal = kws/admin
Nom de domaine DNS = example.com
Nom de domaine = EXAMPLE.COM
Avant de commencer
Le KDC maître est configuré. Les horloges sont synchronisées, comme décrit dans la section Synchronisation des horloges entre les KDC et les clients Kerberos. Pour tester complètement le processus, vous avez besoin de plusieurs clients.
Vous devez prendre le rôle root sur le serveur d'application. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
La commande suivante indique l'existence de l'hôte principal :
boston # klist -k | grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
Si la commande ne renvoie un principal, vous avez terminé. Si elle ne renvoie pas de principal, créez de nouveaux principaux en suivant les étapes ci-dessous.
boston # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
L'host principal est utilisé dans les cas suivants :
Pour authentifier le trafic lors de l'utilisation des commandes à distance, comme rsh et ssh.
Par pam_krb5 afin d'empêcher les attaques par mystification de KDC en utilisant l'host principal pour vérifier que les informations d'identification Kerberos d'un utilisateur ont été obtenues auprès d'un KDC de confiance.
Pour autoriser l'utilisateur root à acquérir automatiquement des informations d'identification Kerberos en l'absence d'un principal root. Cette fonctionnalité peut être utile lors d'un montage NFS manuel où le partage requiert des informations d'identification Kerberos.
Ce principal est obligatoire si le trafic qui utilise l'application distante doit être authentifié à l'aide du service Kerberos. Si le serveur a plusieurs noms d'hôte associés, créez un principal à l'aide de la pour chaque formulaire FQDN nom d'hôte du nom d'hôte.
Si la commande kadmin n'est pas en cours d'exécution, redémarrez-la avec une commande similaire à la suivante : /usr/sbin/kadmin -p kws/admin
Si le serveur a plusieurs noms d'hôte associés, ajoutez un principal au fichier keytab pour chaque nom d'hôte.
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit